Aláírást-ellenőrző alkalmazás. funkcionális modellje és követelményrendszere. CWA 14171:2004 alapján

Átírás

1 Aláírást-ellenőrző alkalmazás funkcionális modellje és követelményrendszere a CWA 14171:2004 alapján V1.1 Készítette: 2005.

2 15/2 1 Az aláírás-ellenőrző rendszerek funkcionális modellje Az aláírások élettartama A kezdeti- és az utólagos ellenőrzés Az érvényesség eldöntéséhez szükséges információk Aláírás formátumok A kezdeti ellenőrzési folyamat bemenő adatai A kezdeti aláírás-ellenőrzési folyamat kimenő értékei Kimenő állapot Érvényesítő adatok Az érvényesítő adat bővített formája Az ellenőrzési folyamat szabályai Aláírói tanúsítvány Tanúsítványlánc ellenőrzésének szabályai Visszavonási státusz információ használatának szabályai A megbízható időponttal kapcsolatos szabályok A minősített hitelesítés-szolgáltató státuszának ellenőrzése Algoritmusok megkötések kulcs hossz szabályok Aláíró szerepkör használatának szabályai Az utólagos ellenőrzés bemeneti adatai Az utólagos aláírás-ellenőrzés folyamat kimenő értékei Aláírás-ellenőrző rendszerek A kezdeti ellenőrző rendszer... 9 Az utólagos aláírás ellenőrző rendszer Funkcionális követelmények fokozott biztonságú és minősített elektronikus aláírásokat ellenőrző alkalmazások számára Biztonsági követelmények fokozott biztonságú és minősített elektronikus aláírásokat ellenőrző alkalmazások számára... 15

3 15/3 1 Az aláírás-ellenőrző rendszerek funkcionális modellje 1.1 Az aláírások élettartama Az elektronikus aláírásokkal ellenőrzésével szemben támasztott követelmények függenek az elektronikus aláírás várható élettartamától. Az alábbi eseteket különböztetjük meg: Pillanatnyi aláírás: elektronikus aláírás, aminek az élettartama rövidebb mint az aláírást követő első visszavonási státusz információ kiadásánál Rövid távú aláírás: elektronikus aláírás, aminek az ellenőrzése nem szükséges az aláíró tanúsítványának lejárta után. Hosszú távú aláírás: elektronikus aláírás, aminek az ellenőrzése szükséges a tanúsítványlánc bármely elemének a lejárta után is. 1.2 A kezdeti- és az utólagos ellenőrzés Az ellenőrzés kifejezést arra az eljárásra használják, amelynek során egy elektronikus aláírásról megállapítják, hogy érvényes-e vagy sem. Az ellenőrzés két speciális formáját különböztetjük meg: kezdeti ellenőrzés (Initial verification): az aláírás létrehozása után hamarosan végre kell hajtani annak érdekében, hogy azokat a kiegészítő információkat be lehessen gyűjteni, melyek a hosszú távú ellenőrzésekhez érvényessé teszik az aláírást. utólagos ellenőrzés (Subsequent verification): akár évekkel egy aláírás létrehozása után is végre lehet hajtani, és végrehajtásához nincs szüksége több adatra, mint amit a kezdeti ellenőrzés során már begyűjtöttek. 1.3 Az érvényesség eldöntéséhez szükséges információk A hosszú távú aláírás érvényességének eldöntéséhez az aláírás kriptográfiai érvényességéhez és az aláíró tanúsítványának az aláíráskor érvényességét bizonyító adatok szükségesek. A tanúsítvány érvénytelenségét három tényező okozhatja: 1. a tanúsítványlánc bármely eleméhez tartozó aláírás-létrehozó adat bizalmasságának sérülése, 2. az alkalmazott aláírási algoritmus vagy kulcshossz gyengesége, 3. szervezeti okok, mint például megváltozott hovatartozású vagy lejárt tanúsítvány. A hosszú távú aláírás érvényességének eldöntéséhez az alábbi alap adatok szükségesek: 1. megbízható időinformáció, minél hamarabb az aláírás kiváltását követően beszerezve, hogy állítható legyen az elektronikus aláírás ezen időpont előtt készültsége, 2. visszavonási státusz információk beszerzése a tanúsítványlánc minden eleméről a kivárási idő (grace period) eltelte után.

4 15/4 1. ábra Kivárási idő A kivárási idő az a legrövidebb időtartam, amelyet a kezdeti ellenőrzéshez ki kell várni, annak érdekében, hogy az aláíró vagy egy más erre feljogosított szereplő által esetlegesen kért visszavonási kérelem megjelenhessen a szolgáltató által biztosított visszavonási állapot információk között. Aláírásra vonatkoztatható időpontot kétféleképpen lehet beszerezni egy időbélyeg használatával, amely egy időbélyegzés-szolgáltatótól származik, vagy időjelzés használatával, mely esetben egy biztonságos naplóban rögzítésre kerül legalább egy megbízható időpont és egy az elektronikus aláíráshoz kapcsolt egyedi érték. 1.4 Aláírás formátumok Egy elektronikus aláírás többféle formában létezhet: elektronikus aláírás (BES vagy EPES: Electronic Signature), amely magában foglalja a digitális aláírást és egyéb alapvető információkat, amelyeket az aláíró szolgáltat. BES esetén az aláíró tanúsítványát (vagy egy erre vonatkozó hivatkozást és a tanúsítvány lenyomat értékét), míg EPES esetén ezen felül az aláírási szabályzatra való hivatkozást. Az ES kielégíti az elektronikus aláírásra vonatkozó jogi törvényeket az Európai Irányelvekben definiáltaknak megfelelően. Ez az alap-hitelesítést és a sértetlenség védelmét biztosítja és létrehozható valós-idejű (időbélyegzési) szolgáltatások igénybevétele nélkül, de nem biztosítja a letagadhatatlanságot, ugyanis az aláíró letagadhatja, hogy az elektronikus aláírás olyan időpontban lett létrehozva, amikor a tanúsítvány érvényes volt, (és nem volt visszavonva); időponttal ellátott elektronikus aláírás (ES-T: ES with Time), amely az elektronikus aláíráshoz hozzácsatol egy időbélyegzés-szolgáltatótól (TSS:

5 15/5 Time stamping service) származó időbélyeget, vagy egy megbízható szolgáltató által készített, és biztonsági naplóban tárolt, ES-re vonatkozó időjelzést; teljes körű érvényesítő adattal rendelkező elektronikus aláírás (ES-C: ES with Complete validation data), amely az ES-T-hez hozzácsatolja az elektronikus aláírás érvényességét alátámasztó adatoknak a teljes halmazára való hivatkozásokat (pl. tanúsítvány lánc és visszavonási állapot információk). Az ES-C így tartalmazza az érvényesítő adatokra való hivatkozásokat és az adatok lenyomatolási értékeit. teljes tanúsítványlánccal és visszavonási információkkal ellátott ES-C (ES-X), mely az ES-C kiterjesztése a tanúsítványok és a visszavonási státusz információk konkrét értékével. archív érvényesítő adat (ES-A). Az ES-C létrehozásakor felhasznált algoritmusok, kulcsok, és egyéb kriptográfiai adatok, funkciók elévülése és a korábbi időbélyegekhez felhasznált tanúsítványok érvényességének lejárta előtt (lehetőleg erősebb kriptográfiával készült) új időbélyeggel kell ellátni az aláírt adatokat, az ES-C-t és bármely kiegészítő információt. Ezt a formát archív érvényesítő adatnak (ES-A) nevezzük. Ez az eljárás ismételhető, így egy ES-A több, beágyazott időbélyeget hordozhat. Az aláírás formátumok az ETSI TS dokumentumban részletesen definiáltak. Az aláírónak legalább a BES vagy EPES aláírási (alap)formátumot biztosítania kell. 1.5 A kezdeti ellenőrzési folyamat bemenő adatai Az elektronikus aláírás kezdeti ellenőrzéséhez szükségesek: az aláírói dokumentum (amelyet az aláíró aláírt), az aláírói dokumentumhoz csatolt elektronikus aláírás, explicit vagy implicit szabályok halmaza, amiket követni kell az ellenőrzés folyamán, (Ezen szabályok formálisan az Aláírási Szabályzatban vannak.) egyéb kiegészítő, az elektronikus aláíráshoz csatolt adatok, az úgynevezett érvényesítő adatok. A digitális aláírást a következő elemekre kell alkalmazni: az aláírói dokumentum vagy annak lenyomata, egy egyértelmű hivatkozás az aláíró által kiválasztott aláírói tanúsítványra, például vagy maga a tanúsítvány, vagy egy erre való hivatkozás a tanúsítvány lenyomatával együttesen. Ez különösen fontos akkor, ha egy aláíró több különböző tanúsítvánnyal rendelkezik, amelyek ugyanahhoz az aláírás-létrehozó adathoz tartoznak. Ha vannak, az alábbi opcionális adatokat is le kell fednie az elektronikus aláírásnak: hivatkozás az alkalmazott aláírási szabályzatra, adat tartalom formátum típus, amely az aláírói dokumentum formátumát határozza meg, az aláírási időpont az aláíró kijelentése alapján vagy,

6 15/6 egy tartalomra vonatkozó időbélyeg (annak bizonyítására, hogy az aláírást a szóban forgó időpont után hozták létre); a kötelezettségvállalás típus, amelyet az aláíró vállal az aláírói dokumentum aláírásával a kiválasztott aláírási szabályzat értelmében; ez akkor szükséges, ha az aláírási szabályzat egynél több kötelezettségvállalás típust specifikál, az aláírói helyszín az aláíró kijelentése szerint, vagyis ahol az aláírást létrehozták, állított vagy tanúsítvánnyal bizonyított, az aláírás időpontjában az aláíró által betöltött szerepkör. 1.6 A kezdeti aláírás-ellenőrzési folyamat kimenő értékei A kezdeti ellenőrzés egy elektronikus aláírást érvényesít az aláírási szabályzat követelményeinek megfelelően. Kétféle típusú kimenő adata van: egy kimenő állapot, és az érvényesítő adatok Kimenő állapot A kezdeti ellenőrzésnek háromféle kimenő állapota lehet: sikeres ellenőrzés, amelynek eredménye az érvényes állapot, sikertelen ellenőrzés, amelynek eredménye az érvénytelen állapot, befejezetlen ellenőrzés, amelynek eredménye a befejezetlen ellenőrzés állapot. A sikeres ellenőrzés válasz azt jelzi, hogy az aláírás ellenőrzése sikeresen megtörtént és megfelel az aláírás-érvényesítési szabályzatnak. A sikertelen ellenőrzés függ különböző tényezőktől, pl. nem helyes a formátum, a digitális aláírási érték ellenőrzése sikertelen volt, vagy az aláíró tanúsítványa vissza lett vonva. A befejezetlen ellenőrzés válasz azt jelzi, hogy a formátum- és digitális aláírás ellenőrzés nem volt sikertelen, de nem áll rendelkezésre elegendő információ ahhoz, hogy el lehessen dönteni, hogy az elektronikus aláírás érvényes-e az aláírási szabályzat értelmében. Esetleg lehetséges annak kérése, hogy az elektronikus aláírást újra lehessen ellenőrizni, amikor esetleg további érvényesítő adatok állnak rendelkezésre Érvényesítő adatok Az érvényesítő adatokat az ellenőrzőnek kell begyűjtenie, amennyiben létezik explicit aláírási szabályzat annak minden követelményét teljesítenie kell. Az elvárt aláírási időtartamnak megfelelő érvényesítési adatokat be kell gyűjteni. Ha szükség lehet utólagos ellenőrzésre, az érvényesítő adatoknak tartalmazniuk kell annak bizonyítékát, hogy a felhasznált tanúsítvány lánc érvényes volt az aláírás létrehozásának időpontjában.

7 15/ Az érvényesítő adat bővített formája Az érvényesítő adat bővített formáját illetően meg kell említeni, hogy a teljes körű érvényesítő adattal rendelkező elektronikus aláírás (ES-C) kibővíthető úgy, hogy egy bővített érvényesítő adatokkal rendelkező elektronikus aláírás (ES-X: ES with extended validation data) alakuljon ki, amely lehetővé teszi az érvényesítő adatok értékeinek tárolását az ES-sel együtt. Ezek a következők: az aláíró tanúsítványa, minden olyan hitelesítés-szolgáltató tanúsítvány, amelyek a teljes tanúsítvány lánchoz tartoznak, az ES-C szerinti hivatkozásnak megfelelően, minden idevonatkozó visszavonási állapot információ, az ES-C-beli hivatkozásnak megfelelően. Alternatívaként lehetőség van arra, hogy az ES-X-ben csak az aláíró tanúsítványa legyen őrizve, a hitelesítés-szolgáltatók tanúsítványai és a CRL-ek pedig valamilyen központi helyen legyenek tárolva. 1.7 Az ellenőrzési folyamat szabályai Aláírói tanúsítvány Minősített tanúsítványként kibocsátott tanúsítványnak vagy a Certificate Policy mezőjében kell hivatkozni arra a szolgáltatási szabályzatra ami egyértelművé teszi, hogy a tanúsítvány minősített vagy használni kell az ETSI TS (Qualified Certificate Profile) dokumentumban specifikált Qualified Certificate Statement mezőt. Minősített elektronikus aláírást csak minősített tanúsítvánnyal és BALE eszköz használatával lehet készíteni. Minősített elektronikus aláírás ellenőrzésekor az aláíró tanúsítványának minősített tanúsítványnak kell lennie Tanúsítványlánc ellenőrzésének szabályai A tanúsítványlánc érvényességének ellenőrzéséhez az RFC 3280 dokumentum 6. fejezetében leírt algoritmust kell használni Visszavonási státusz információ használatának szabályai Mielőtt az ellenőrző az elektronikus aláírást érvényesnek ítéli, meg kell bizonyosodnia arról, hogy az aláírás időpontjában: 1. a használt tanúsítvány az érvényességének időtartamán belül van, 2. a használt tanúsítvány nincs visszavonva. Mivel a visszavonás kérése és a visszavonás közreadása között szükségszerűen idő eltolódás van, ezért a nagyobb bizonyosság érdekében ajánlott a korábban meghatározott kivárási időt alkalmazni. Az ellenőrzőnek különös figyelmet kell fordítani az alábbi esetre: 1. Nevezzük időpont 1 -nek azt amikor elektronikus aláírást az aláíró létrehozta. Az aláíró aláírási tulajdonságként megadhatja az általa állított időt, de az ellenőrző ebben nem tud megbízni, mivel nem ellenőrizhető. 2. Az elektronikus aláírást időpont 2 időben lássuk el megbízható időinformációval. 3. Nevezzük időpont 3 -nak az időpont 2 -höz hozzáadott kivárási időt.

8 15/8 4. Nevezzük időpont 4 -nek azt az időt amikor a tanúsítványt visszavonták. Ez lehet korábban vagy később, mint időpont Az elektronikus aláírás kezdeti ellenőrzésének idejét nevezzük időpont 5 - nek és ez ne legyen kisebb, mint időpont 3. Az időpont 5 - kor elvégzett ellenőrzéskor három eset lehetséges a) a tanúsítvány nincs visszavonva, b) a tanúsítvány vissza van vonva, de a visszavonás dátuma időpont 4 nagyobb, mint időpont 3 tehát a kivárási idő után lett a tanúsítvány visszavonva c) a tanúsítvány vissza van vonva és a visszavonás dátuma időpont 4 kisebb, mint időpont 3. Az (a) és (b) esetben az elektronikus aláírás érvényes. A (c) esetben az elektronikus aláírás érvénytelen A megbízható időponttal kapcsolatos szabályok Amennyiben időjelzést használnak akkor az elektronikus aláírás egyedi hivatkozását (ez lehet maga az elektronikus aláírás vagy annak a lenyomata) valamint az aktuális időpontot kell tárolni egy biztonságos naplóban. Amennyiben időbélyeget használnak, akkor annak meg kell felelni az RFC 3161 dokumentumban leírtaknak. Az időpecsét szolgáltató tanúsítványának ellenőrzése hasonlóképpen történjen, mint az aláíró tanúsítványáé A minősített hitelesítés-szolgáltató státuszának ellenőrzése Az ellenőrzőnek szüksége lehet arra az információra, hogy az a hitelesítésszolgáltató, aki kibocsátotta az általa vizsgált minősített tanúsítványt, a kibocsátás időpontjában rendelkezett-e a megfelelő engedélyekkel. Az ETSI TS (Requirements for Trust Service Provider status information) dokumentum írja le a hitelesítés-szolgáltató státusz listával kapcsolatos követelményeket Algoritmusok megkötések kulcs hossz szabályok A minősített elektronikus aláírásnál használandó algoritmusok és paraméterek az ETSI SR (Electronic Signatures and Infrastructures (ESI) Algorithms and Parameters for Secure Electronic Signatures) dokumentumban vannak meghatározva Aláíró szerepkör használatának szabályai Az aláíró szerepkör megadható, mint állított szerepkör, vagy mint tanúsított szerepkör. A szerepkör tanúsítványának ellenőrzése hasonlóképpen történjen, mint az aláíró tanúsítványáé.

9 15/9 1.8 Az utólagos ellenőrzés bemeneti adatai Az utólagos ellenőrzést akár évekkel az aláírás ellenőrzés után is végre lehet hajtani. Aláírási szabályzat használata esetén az ellenőrzőnek egyértelműen azonosítani kell az aláírási szabályzatot (az arra való közvetett vagy közvetlen hivatkozásokból, akár az aláírt adat tartalmából). Ezután megbízható módon be kell szereznie az adott aláírási szabályzat egy példányát, és ellenőrizni kell a kapott szabályzat megfelelőségét. Ezt követően az aláírási szabályzat ismeretében, pontosan ugyanazokat a lépéseket kell követni, mint kezdeti ellenőrzéskor, azzal a különbséggel, hogy ezek végrehajtásához nincs szükség újabb adatokra, mert azokat a kezdeti ellenőrzés során begyűjtötték. Ezt követően az utolsó időbélyeget ellenőrizni kell (hogy nem lett-e visszavonva), illetve esetleg az érvényesség további kiterjesztésének érdekében egy újabb időbélyeg is kérhető. 1.9 Az utólagos aláírás-ellenőrzés folyamat kimenő értékei Az utólagos ellenőrzés egy elektronikus aláírást érvényesít az aláírási szabályzat követelményeinek megfelelően. Csak egyféle típusú kimenő adata van, a kimenő állapot. A kezdeti utólagos ellenőrzésnek kétféle kimenő állapota lehet: sikeres ellenőrzés, amelynek eredménye az érvényes állapot, sikertelen ellenőrzés, amelynek eredménye az érvénytelen állapot, 1.10 Aláírás-ellenőrző rendszerek Egy aláírás-ellenőrző rendszer biztonsága az alábbi tényezők függvénye: a rendszer fejlesztés biztonsága, a rendszer helyes telepítése, a jogosulatlan módosítás megakadályozásának (vagy legalább észlelésének) képessége A kezdeti ellenőrző rendszer Egy kezdeti ellenőrző (Initial verification) rendszer a következő elemekből áll: a biztonságos (kezdeti) aláírás-ellenőrző folyamat, egy interfész az aláírói dokumentum megadására és az ellenőrizendő elektronikus aláírás kiválasztására (egynél több elektronikus aláírást is csatolni lehet a felhasználói adatokhoz), egy interfész az aktuális idő megadásához, egy interfész a követendő ellenőrzési szabályok megadásához, egy display/hang/video interfész az aláírói dokumentum formátumának megfelelő megjelenítésére (vagyis bemutatására, meghallgatására vagy lejátszására), egy interfész az aláírói információk begyűjtésére és az aláírás ellenőrzés utáni output állapotnak a kijelzésére,

10 15/10 egy opcionális interfész egy független, megbízható harmadik fél biztonsági naplójába íráshoz, egy hálózati interfész a megbízható szolgáltatóktól származó információk beszerzésére, ha ezeket az aláíró nem biztosítja (pl. hitelesítés-szolgáltató tárak, CRL tárak, OCSP válaszadók, időbélyegzés-szolgáltatók). Az ellenőrzés folyamata az alábbi összetevőket is tartalmazhatja: amennyiben szükséges egy interfész a rendelkezésre álló TSL * -ek státusz információinak megszerzéséhez; egy opcionális interfész az aláírási szabályzat definíciójának beszerzésére. Amennyiben időjelzést használnak időbélyeg helyett, akkor a megbízható szolgáltatók egyikét meg kell bízni azzal, hogy az elektronikus aláírást őrizze meg egy biztonságos napló bejegyzésben Az utólagos aláírás ellenőrző rendszer Egy utólagos ellenőrző (Usual verification) rendszer a következő elemekből áll: a biztonságos (utólagos) aláírás-ellenőrzési folyamat, egy interfész az aláírói dokumentum megadására és az ellenőrizendő elektronikus aláírás kiválasztására (egynél több elektronikus aláírást is csatolni lehet a felhasználói adatokhoz), egy interfész az aktuális idő megadásához, egy interfész a követendő ellenőrzési szabályok megadásához, egy display/hang/video interfész az aláírói dokumentum formátumának megfelelő megjelenítésére (vagyis bemutatására, meghallgatására vagy lejátszására), egy interfész az aláírói információk begyűjtésére és az utólagos aláírás-ellenőrzés utáni output állapotnak a kijelzésére, egy opcionális interfész az elektronikus aláírás rögzítési idejének beszerzésére a megbízható független harmadik fél biztonságos naplójából. Az ellenőrzés folyamata az alábbi összetevőket is tartalmazhatja: amennyiben szükséges egy interfész a rendelkezésre álló TSL-ek státusz információinak megszerzéséhez amennyiben szükséges egy interfész az időbélyeg kibocsátó hitelesítésszolgáltató tanúsítványának státusz információinak megszerzéséhez egy opcionális interfész az aláírási szabályzat definíciójának beszerzésére (ha az ellenőrző rendszer nem csak dinamikusan programozható aláírási szabályzatokat támogat). Amennyiben időjelzést használnak időbélyeg helyett, akkor szükség van egy interfészre, amelyen keresztül egy naplót le lehet kérdezni az aláírás időpontjának megszerzéséhez. A lekérdezéshez felhasznált folyamat az aláírás-ellenőrző rendszer határain kívül esik. * Trusted Service List, egy olyan lista, amelyben egy megbízható fél egy olyan adatbázist szoláltat, amelyből kiderül, hogy egy adott szolgáltató egy adott időpontban milyen szolgáltatásokat, milyen biztonsági szinten nyújtott.

11 15/11 2 Funkcionális követelmények fokozott biztonságú és minősített elektronikus aláírásokat ellenőrző alkalmazások számára F_ISV-1: Az érvényesítő adatokat az ellenőrzőnek be kell gyűjtenie, és amennyiben létezik, az aláírási szabályzat minden követelményét teljesítenie kell. F_ISV-2: Ha szükség lehet utólagos ellenőrzésre, az érvényesítő adatoknak tartalmazniuk kell annak bizonyítékát, hogy a felhasznált tanúsítvány lánc érvényes volt az aláírás létrehozásának időpontjában. F_ISV_3 * A kezdeti ellenőrzés során az 1.7 pontban felsorolt szabályokat be kell tartani. F_USV-1: Az utólagos ellenőrzés során a kezdeti ellenőrzés során begyűjtött érvényesítő adatok ellenőrzésénél az aláírási szabályzat minden követelményét teljesíteni kell. Ember által történő ellenőrzés esetén: F_human_1: Az aláírás-ellenőrző rendszernek eszközt kell biztosítania a felhasználó számára, amelyen keresztül az kommunikálni tud a rendszerrel. Ha az aláírt adatokhoz egynél több aláírás van hozzárendelve, akkor ennek a kommunikációnak azzal kell kezdődnie, hogy kijelzésre kerül az aláírások száma, amelyek feltehetően léteznek, és fel kell kínálni, hogy melyik legyen az ellenőrizendő. F_human_2: Az aláírás-ellenőrző rendszernek interaktív eszközt kell biztosítania a felhasználó számára, hogy megnézhesse az aláírási szabályzat teljes egészét, vagy legalább az alkalmazási területre és feltételekre vonatkozó részeket. F_human_3: A felhasználói felületnek megfelelő módon meg kell jelenítenie az aláíró dokumentumot, hogy az aláírást ellenőrző személy képes legyen az aláírói dokumentum tartalmának kellő meghatározására. Teljesíteni kell az Ami megjelenik, azt írták alá. követelményt. Ha valamilyen okból az aláírói dokumentum nem jeleníthető meg pontosan a megfelelő módon, akkor ezt a felhasználói interfésznek világosan jeleznie kell. F_human_4: Az aláíró azonosítójának, vagyis az állítólagos aláíró nevének vagy felvett nevének megjeleníthetőnek kell lenni. Az adott nevet az aláíró tanúsítványában szereplő, megkülönböztető név információjából kell venni. Ha az aláíró nem bocsátotta rendelkezésre a tanúsítványt, a hitelesítésszolgáltató nevét kell megjeleníteni ehelyett, és ha ez a név elfogadható, akkor az adott tanúsítványt a hálózati interfész felhasználásával be kell szerezni. Az említett névnek csak a tanúsítványt kibocsátó hitelesítésszolgáltató számára van jelentése, ezért a hitelesítés-szolgáltató nevét az * Új funkcionális követelmény

12 15/12 aláíró nevével együtt ki kell jelezni. F_human_5: Befejezetlen ellenőrzés állapot esetén az aláírás-ellenőrző alkalmazásnak javasolnia kell a felhasználó számára, hogy szerezze be azt az információt, ami az aláírást érvényessé teszi hosszú távra. F_human_6: A felhasználói interfészekre teljesüljenek az F_principles egyszerűségre és hibamentességre vonatkozó speciális elvárásai. F_human_7: A kezdeti aláírás-ellenőrzési folyamat kimenő állapota az alábbiak egyike legyen: érvényes állapot (sikeres ellenőrzés), érvénytelen állapot (sikertelen ellenőrzés), befejezetlen ellenőrzés állapot (befejezetlen ellenőrzés) Gépi (automatikus) ellenőrzés esetén: Az automatizált feldolgozás esetében alkalmazói program interfészek (API-k) használhatók. Bár az ilyen interfészek kialakításának többféle módja van, ezeket két csoportba lehet sorolni: az 1-es típusú API-k arra szolgálnak, hogy az elektronikus aláírásban tárolt adatokat kigyűjtsék. A 2-es típusú API-k az elektronikus aláírás ellenőrzésére és az érvényesítő adatok beszerzésére szolgálnak. F_machine_1: Az 1-es típusú API-k alkalmasnak kell lenniük az elektronikus aláírásban tárolt információk kinyerésére és az elektronikus aláírás formátumának meghatározására. F_machine_2: A 2-es típusú API-k az elektronikus aláírások hitelesítését és/vagy ellenőrzését kell lehetővé tenniük, illetve be kell szerezniük az aláírói információkat, az output állapotot és az érvényesítő adatokat. F_general_1: A rendszer által megvalósított aláírás-ellenőrzési folyamatnak meg kell felelnie egy ember számára olvasható formájú leírásnak, feltételezve, hogy az aláírási szabályzat minden feldolgozási szabálya világosan meghatározott. F_protocol: Az aláírás-ellenőrzési alkalmazásnak szabványos protokollt kell használnia a megbízható szolgáltatóval (szolgáltatókkal) történő kommunikáció során. Ez a következőket foglalja magában: tanúsítvány visszavonási állapot megszerzésekor; időbélyeg kérelem és válasz esetén; egyéb esetekben (pl. központi archiválási, időjelzési, naplózási szolgáltatások igénybe vétele esetén). F_format: Az aláírás-ellenőrzési alkalmazásnak képesnek kell lennie szabványos formátumok kezelésére az alábbi területeken: szabványos aláírási formátumok;

13 15/13 szabványos tanúsítvány formátumok. F_principles: A felhasználói felületek tervezésekor a következő elveket kell figyelembe venni: alkalmasnak kell lennie a feladatra; konzisztensnek kell lennie; felhasználóbarátnak (könnyen érthető, egyszerűen használható) kell lennie; ellenőrizhetőnek kell lennie; hibatűrőnek kell lennie; lehetővé kell tennie az egyedi beállításokat; egyenlőségen alapuló hozzáférést kell biztosítania; megfelelő állapotjelzéseket és hibaüzeneteket kell küldenie a felhasználó számára. A felhasználókkal (aláírók, ellenőrzők) párbeszédet folytató rendszer teljesítse az alábbiakat: félreérthetetlen felhasználói útmutatót kell szolgáltatnia arra nézve, hogy hogyan kell a rendszert installálni, konfigurálni és használni; ön-leírónak kell lennie abban az értelemben, hogy minden párbeszéd-lépésnek azonnal érthetőnek kell lennie vagy a rendszertől kapott visszajelzéseken keresztül, vagy úgy, hogy az ellenőrző kérésére a rendszer magyarázatot ad; meg kell felelnie a felhasználók szokásos elvárásainak, azaz tudásuknak, képzettségüknek, tapasztalatuknak és az általánosan elfogadott konvencióknak; adaptálhatónak kell lennie, azaz támogatnia kell a felhasználók egyéni igényeit és preferenciáit; hibatűrőnek kell lennie úgy, hogy a nyilvánvaló input hibák ellenére az eredményt el lehessen érni minimális javításokkal. tájékoztató hiba üzeneteket kell küldenie, a felhasználó továbbhaladása érdekében; visszajelzéseket kell szolgáltatnia, mely megerősíti a felhasználó által végrehajtott tevékenység helyességét (vagy helytelenségét); a hibaüzenetek legyenek kellően informatívak, adjanak eligazítást a hiba okáról, a szükséges teendőkről (pl. a Hibakód: 213 hibaüzenet nem igazán segítőkész); szabatos és minden részletre kiterjedő terminológia helyett hétköznapi kifejezéseket kell használni (a technikai kifejezéseket ugyanis a legtöbb felhasználó nem érti, és nem is kell értenie); alkalmaznia kell a színek használatára vonatkozó konvenciókat (pl. piros = hiba, zöld = továbbhaladás/siker);

14 15/14 minden időpontban képesnek kell lennie arra, hogy az éppen végrehajtás alatt álló műveletet félbeszakítsa és vagy visszatérjen a főmenübe, vagy teljesen kilépjen a rendszerből; a felhasználói egyének számára biztosítania kell a magántitok jelleget (pl. azáltal, hogy az információkat nem teszi mások számára hozzáférhetővé a felhasználói interfészen keresztül). A műveletek helyes időzítésével elegendő időt kell biztosítani minden felhasználónak a folyamatok befejezéséhez (figyelembe véve azt a tényt is, hogy az emberek olvasási és reagálási és reagálási képességei különbözők).

15 15/15 3 Biztonsági követelmények fokozott biztonságú és minősített elektronikus aláírásokat ellenőrző alkalmazások számára Az aláírás-ellenőrzés folyamattal kölcsönhatásba lépő összes összetevőt egy biztonságos területen kell megvalósítani. Biztonságos területet (azaz egy olyan területet, melyen belül speciális ellenintézkedésekkel védekeznek a feldolgozott és tárolt adatok, illetve a folyamatok sikeres manipulálása ellen) technikailag (tehát nem adminisztratív, vagy egyéb nemtechnikai módszerekkel) az alábbi három különböző módon lehet megvalósítani: Egy szoftver modulban, melyben a biztonsági ellenintézkedések szoftverben vannak megvalósítva. Az így elérhető biztonság a működtető környezet biztonságától függ. Az adatok és folyamatok szoftver úton megvalósított biztonsági intézkedésekkel történő védelmének elégségessége erősen vitatott a szakértők között, különösen egy standard operációs rendszerű PCben. Egy módosítást-jelző modulban, ahol a biztonsági ellenintézkedéseket olyan módon valósítják meg, hogy a manipuláció ugyan nem akadályozható meg, de a felhasználó észlelheti azt. Ez azt jelenti, hogy a felhasználó védve van a biztonságos területen manipulált komponensek véletlen használatától. Egy standard operációs rendszerű PC-ben a módosítást észlelő modul megvalósítása jelenleg csak kiegészítő hardver alkalmazásával oldható meg. (Megjegyezzük, hogy ez a modul nem a biztonságos aláírás-létrehozó eszköz, hanem az azt felhívó eszköz.) Egy módosításnak ellenálló modulban, ahol a biztonsági ellenintézkedéseket olyan módon valósítják meg, hogy a manipuláció reális erőfeszítésekkel nem megvalósítható. /A manipuláláshoz szükséges erőfeszítéseknek arányban kell állnia az általa elérhető előnyökkel./ A módosításnak ellenálló modulok jelenleg csak speciális hardver felhasználásával valósíthatók meg.